Amazon tiết lộ: AI giúp kiểm thử xâm nhập hiệu quả hơn 40%

Amazon tiết lộ: AI giúp kiểm thử xâm nhập hiệu quả hơn 40%

Amazon báo cáo đã tăng năng suất kiểm thử xâm nhập lên 40% nhờ các công cụ trí tuệ nhân tạo, trong khi vẫn giữ vai trò chủ chốt cho con người trong việc ra quyết định bảo mật. Giám đốc an ninh mạng của công ty nhấn mạnh việc đào tạo và giới hạn dữ liệu cho AI để đảm bảo an toàn hệ thống.

AI giúp Amazon tiết kiệm hàng triệu đô la chi phí nhân sự

Giám đốc an ninh mạng (CISO) của Amazon, CJ Moses, cho biết công ty đã đạt được mức tăng hiệu quả hơn 40% khi sử dụng các công cụ AI trong việc kiểm thử xâm nhập (pentesting) trước và sau khi ra mắt sản phẩm. Moses, người đang làm việc tại Amazon Integrated Security, tiết lộ tại hội nghị RSA rằng con số này đến từ việc giảm chi phí vận hành và nhân sự.

"Tôi không nghĩ chúng ta đã đạt đến đỉnh điểm của sự tăng tốc trong hiệu suất," Moses nói. "Mỗi năm chúng ta ra mắt nhiều sản phẩm hơn, mỗi năm các đội ngũ cần lớn hơn để thực hiện kiểm thử xâm nhập, và chúng tôi đang trong cuộc chiến không thể tìm đủ chuyên gia để hoàn thành tất cả công việc."

Truyền thống, việc kiểm thử xâm nhập là một nỗ lực tốn kém và đòi hỏi nhiều nguồn lực, khiến các tập đoàn công nghệ lớn như Amazon phải chi hàng triệu đô la cho nhân viên và nhà thầu để tìm và khai thác các lỗi (bug) trong các dịch vụ và ứng dụng trước khi khách hàng sử dụng.

Kiểm tra liên tục thay vì một lần

Một lợi ích lớn của việc sử dụng AI trong bảo mật là khả năng kiểm tra lỗ hổng liên tục, ngay cả sau khi sản phẩm đã được ra mắt. Theo Moses, kiểm thử xâm nhập không còn là một hoạt động diễn ra tại một thời điểm cụ thể hay chỉ diễn ra trong 365 ngày một năm.

"Việc kiểm tra sẽ tiếp tục diễn ra, tìm kiếm các cơ hội truy cập cấp cao hơn, đây là những thứ không thể đo lường được từ góc độ xác định vấn đề và lỗ hổng," Moses giải thích. AI có thể tự động phát hiện chuỗi các lỗ hổng tiềm năng và báo cáo cho con người để xử lý.

Ông Moses cũng chia sẻ quan điểm của cựu giám đốc an ninh mạng của NSA, Rob Joyce, rằng kẻ xấu cũng đang sử dụng AI để tìm lỗ hổng trong hệ thống của bạn. "Bạn sẽ bị kiểm tra xâm nhập (red-teamed) bất kể bạn có trả tiền cho dịch vụ đó hay không," Joyce nói. "Sự khác biệt duy nhất là bạn biết kết quả được gửi đến ai."

Con người vẫn là người ra quyết định cuối cùng

Mặc dù AI làm việc chăm chỉ, con người vẫn giữ vai trò then chốt trong việc ra quyết định cuối cùng. Moses ví AI giống như một đứa trẻ 7 tuổi về khả năng ra quyết định. "Nếu bạn chấp nhận để một đứa trẻ 7 tuổi ra quyết định xem có nên nhảy sang cấp độ kiểm thử tiếp theo hay không, thì bạn có thể chấp nhận AI làm việc đó," ông nói.

Tuy nhiên, Moses khẳng định AI không thể tự quyết định khi tìm thấy một lỗ hổng nguy hiểm. "Ví dụ, nếu một AI tìm thấy lỗ hổng cung cấp quyền truy cập thêm, nó cần hỏi con người xem có nên khai thác lỗ hổng đó hay không. AI rất giỏi thực hiện các tác vụ nhàm chán và phân tích dữ liệu lớn, nhưng khả năng ra quyết định thì chúng ta chưa sẵn sàng để phụ thuộc hoàn toàn."

Cách bảo vệ hệ thống AI như bảo vệ con người

Trong bối cảnh các cuộc thảo luận tại RSA Conference tập trung vào các vấn đề đau đầu của CISO, Moses cho rằng vấn đề cốt lõi năm ở việc bảo vệ AI. Ông đề xuất cách tiếp cận "Zero Trust" (không tin tưởng tuyệt đối) cho AI: đào tạo, giới hạn quyền truy cập và quản lý danh tính.

"Giống như cách bạn bảo vệ con người, bạn sẽ tốt hơn khi bảo vệ AI," Moses chia sẻ. Cả con người và AI đều cần được đào tạo về những gì nên làm hoặc không nên làm, ví dụ như xử lý khi nhận được yêu cầu truy cập từ bộ phận hỗ trợ IT. Tuy nhiên, giống như nhân viên, AI đôi khi vẫn hành động dựa trên dữ liệu thừa.

Do đó, Moses khuyến nghị cần thiết lập danh tính (identity) và giới hạn dữ liệu đầu vào. "Hãy chỉ cho AI biết những gì bạn muốn họ biết, không phải nhiều hơn thế," ông nói. "Nếu bạn cung cấp cho họ thông tin không cần thiết, họ sẽ sử dụng nó, chia sẻ nó với những 'bạn' của họ – và AI cũng có bạn."